Вопрос: Шифрование абсолютно всех, даже внутри локальной сети


Кто-нибудь уже пробовал этот подход? Я действительно рассматриваю это: вместо того, чтобы полагаться на сетевые IDS и т. Д., Каждый пакет должен использовать шифрование, инициированное сертификатом, выпущенным моим собственным ЦС.

  • Каждый клиент получает уникальный клиентский сертификат
  • Каждый сервер получает уникальный сертификат сервера
  • Для каждого сервиса дополнительно требуется логин.

И SSL, и SSH будут в порядке. Доступ в Интернет будет осуществляться через туннель SSL для шлюза.

Возможно ли это? Это создает практические проблемы? Как это можно сделать и обеспечить соблюдение? Как вы думаете?

Подробнее

Моя цель - упрощать концепция безопасности ЛВС - я еще не уверен, если это сумасшедшая идея! Но я чувствую, что защита HTTPS или SSH-сервера от интернет-угроз (при использовании взаимной аутентификации) иногда проще, чем мониторинг всего, что может произойти в диком мире локальной сети.

В нешифрованной локальной сети я чувствую, что действительно трудно стать хорошим шагом перед потенциальным злоумышленником из-за таких угроз, как:

  • Атаки низкого уровня, такие как ARP-спуфинг, кража портов, ...
  • Доступ к WLAN (например, каждому разработчику будет разрешен доступ к SVN-серверу из (W) LAN - я не думаю, что это будет через VPN ...)

=> Для простоты, не проще ли сделать предположение, что в локальной сети всегда есть злоумышленник?

=> Могу ли я в конечном итоге упростить концепцию безопасности локальной сети (маленькой компании), рассматривая ее как WAN? Или я бы усложнил его?

IPSec и альтернативы

IPSec звучит очень многообещающе, но меня тоже будут интересовать альтернативы IPSec. - Используя SSL / SSH отдельно для каждой службы и создавая Stunnel для шлюза? Возможно, с помощью Kerberos? ... В чем преимущества IPSec или других?

Если вы можете помочь мне лучше понять IPSec, см. Мой последующий вопрос конкретно по IPSec,


7
2018-04-07 23:10


Источник


Для этого существует стандартная схема: IPSEC .. это то, что вы имеете в виду? Многие VPN используют его через TLS, но локальные сети реализуют его легко .. компьютеры Windows могут быть включены и принудительно использованы для использования с объектами GPO. Устранение неполадок немного сложнее, но это не так сложно .. - Grizly
@Grizly: Я не уверен на 100%! Может быть, это можно сделать с помощью IPSEC (?). Мне важно проверить подлинность как клиента, так и сервера через сертификат, а также убедиться, что клиент входит в систему (в тех случаях, когда ноутбуки украдены и т. Д.), - Chris Lercher


Ответы:


Я использую IPsec здесь для всего. Причиной является то, что большинство нападки сделаны инсайдерами в любом случае - неправильная сторона / хорошая сторона мышления ошибочна. (Если кто-то делает с серверами, они могут повеселиться, пытаясь сломать шифрование с полным диском, поэтому никаких проблем нет.)

Также интересно использовать telnet, NIS, NFS и FTP без каких-либо забот - чувствует себя как старые добрые времена! :-)


6
2018-04-08 11:21



@ Тедди: Приятно слышать, что вы уже используете его! Вы знаете, как это реализовано? Если да, я хотел бы пригласить вас на мой следующий вопрос: serverfault.com/questions/130637/... :-)) - Chris Lercher
@chris_l: Я написал ответ сейчас: serverfault.com/questions/130637/... - Teddy
Ваша презентация в формате PDF, с которой вы связаны (тамfukt.bsnet.se/lectures/2007-02-15_IPsec) также ответил на большую часть этого вопроса. Благодаря! - Chris Lercher


Стандарт IPSec. Он приходит в разных формах, и в нем много словарного запаса.

я рекомендую это руководство по IPSec чтобы вы начали.


8
2018-04-08 00:08



@Kyle: Определенно выглядит как хорошее чтение, и я буду читать его завтра утром! Используете ли вы IPSec в своей локальной сети? Почему, почему нет? - Chris Lercher
Я использую его только для туннелей WAN через Интернет, поэтому вам придется подождать, когда кто-то, у кого есть опыт развертывания его на всей локальной сети. Это обеспечит дополнительную безопасность, но для моей среды будет сложная стоимость. Обычно я полагаюсь на ssh и ssl для обеспечения безопасности сетевого уровня там, где это необходимо. Я бы предположил, что вы не найдете IPSec, развернутого в локальных сетях в небольших / средних компаниях, слишком часто, если они не имеют дело с бизнесом, требующим очень высокой безопасности, но я могу ошибаться. Я бы предположил, что обновления, устранение неполадок, резервное копирование и т. Д., Вероятно, занимают время администратора. - Kyle Brandt♦
Мы провели эту дискуссию в моей работе в прошлом году. Он сводился к «физическим козырям безопасности». Если у вас есть доступ к пакетам (LAN), у вас есть доступ к краже всего сервера (в нашем случае); поэтому не стоит ставить замок на 3-дюймовый забор. - Chris S
IPSec, вероятно, он хочет, но, ради точности, я считаю необходимым указать, что он не шифрует «абсолютно все» в контексте локальной сети. Он только шифрует IP-протоколы. Нередко можно увидеть не-IP-протоколы в локальных сетях даже сегодня. ARP, STP, CDP, 802.1X, PPPoE, AoE и старых протоколов в некоторых темных углах предприятия (Novell IPX, AppleTalk, NetBEUI, DECnet и т. Д.), - Spiff


У вас есть модель угрозы, где ожидается неограниченный доступ к вашей инфраструктуре локальной сети? Если да, да, развертывание IPSEC для всех конечных точек - это, вероятно, то, что вы хотите.

Тем не менее, в большинстве моделей угроз существует достаточная защита периметра, которая может по существу игнорировать инфраструктуру ЛВС как дешевый метод доступа.

Картинка меняется, если у вас установлен WiFi, вам нужно что-то между сетью WiFi и проводной сетью (сетями), чтобы убедиться, что у вас нет утечки информации по этому маршруту.


1
2018-04-08 09:14



@Vatine: Вы правильно догадались: доступ WiFi :-) - Chris Lercher
Ну, с Wi-Fi, все еще есть вещи, которые вы можете сделать, чтобы сохранить их в защищенном периметре, но, я думаю, покрытие здания в проводящей фольге может быть дороже, чем развертывание IPSEC. - Vatine


На стороне окна то, что вы ищете Изоляция домена и сервера, Вы можете играть с ним, используя эта трансляция 

Этот план установки по умолчанию для новой установки включает в себя. В окнах нетрудно настроить и предлагает большую дополнительную защиту (и нет никакого «дополнительного» администрирования, вам может понадобиться еще несколько групп безопасности).

NAP не требует IPsec (или даже PKI - это только если вы хотите запустить собственный режим). SCCM является дополнительным продуктом - больше ничего не требуется для изоляции домена и сервера. NAP в первую очередь предназначен для отправки «медицинской» информации о клиенте, и если этот клиент не передает вашу проверку работоспособности, он откладывается только на связь с сервером (ами) исправления. Здоровье определяется как параметры исправления AV-параметров, настройки безопасности и т. Д. Конечно, вы можете использовать SCCM для настройки IPSEC, но это не является обязательным требованием.

При изоляции домена и сервера у меня нет возможности проверить это «здоровье» - и это не так. Когда он настроен, я шифрую трафик и гарантирую, что и дополнительно гарантирую, что серверам и клиентам разрешено только общаться с серверами и клиентами, необходимыми для этой бизнес-функции (например, рабочие станции HR - это единственные рабочие станции, которые могут связываться с персональным сервером ).


1
2018-04-08 17:51



Спасибо - это отличается от SCCM и NAP (из ответа GAThrawn)? Я не очень сильно использую Windows ... Но это почти кажется, как будто вещь, которую я хочу сделать, - это нечто более распространенное в мире Windows? - Chris Lercher
Смотрите мои правки выше - Jim B


Термин безопасности - «защита данных в пути». Да, есть группы, которые делают это, и да, в некотором смысле это упрощает безопасность локальной сети. IPSEC и IPv6 могут использоваться для поддержки этого.

Дополнительной концепцией является «защита данных в состоянии покоя», что означает шифрование ваших дисков.


0
2018-04-08 13:06





Не знаю, какие системы и инфраструктуру вы используете, но Диспетчер конфигурации Microsoft System Center (SCCM) имеет Защита доступа к сети (NAP), который выполняет именно то, что вам нужно.

Он PKI шифрует весь трафик клиент-сервер и помещает неидентифицированные машины в то, что фактически является DMZ, где они не могут разговаривать с любым сервером / машиной / системой, которая специально не настроена для размещения в этой DMZ. Он также позволяет устанавливать параметры исправления на уровне проверки, антивирус, безопасность и т. Д., Прежде чем разрешать им доступ к основной локальной сети (очевидно, в этом случае у вас будет сервер обновлений или два, сидящие в DMZ.

Пошаговые инструкции к настройкам для демонстрации / тестирования.


0
2018-04-08 15:36



+1 Звучит неплохо. Я в основном на Linux, но мне нравится слышать все решения! - Chris Lercher